По словам исследователей, существует способ сделать Bitcoin устойчивым к квантовым атакам без форка

Кратко

• Новое предложение описывает способ создавать квантоустойчивые транзакции Bitcoin без изменения сетевого протокола.
• В конструкции вместо допущений об эллиптических кривых используются хеш-ориентированные головоломки и подписи Лэмпорта.
• Подход переносит вычислительную нагрузку на создателей транзакций и позиционируется как временный обходной вариант, а не как постоянное решение.

Транзакции Bitcoin можно сделать устойчивыми к будущим квантовым атакам без изменения ключевого протокола сети, говорится в предложении исследователя StarkWare Авиху Мордехая Леви. В недавней работе Леви описывает схему транзакций “Quantum-Safe Bitcoin”, предназначенную для сохранения безопасности даже в том случае, если квантовые компьютеры взломают используемую сегодня эллиптическо-кривую криптографию. Метод работает в рамках существующих правил сценариев Bitcoin и не потребует софтфорка или другого обновления сети. “Мы представляем QSB — схему транзакций Quantum Safe Bitcoin, которая не требует изменений в протоколе Bitcoin и остается безопасной даже в условиях наличия алгоритма Шора”, — написал Леви.

Предложение заменяет подписи на основе эллиптических кривых на хеш-ориентированную криптографию и подписи Лэмпорта — раннюю схему подписи, которую считают устойчивой к квантовым атакам. “Поскольку подписи Лэмпорта обеспечивают устойчивость к квантам, и они подписывают криптографически надежный идентификатор транзакции, невозможно изменить транзакцию, не создав новую подпись Лэмпорта — которую атакующий не сможет подделать, даже обладая возможностями квантовых вычислений”, — написал Леви.  В основе конструкции лежит криптографическая головоломка, которую нужно решить до того, как транзакцию можно будет транслировать в сеть. В статье оценивается, что поиск корректного решения потребует порядка 70 триллионов попыток.

В отличие от майнинга Bitcoin, вычисления выполняются до того, как транзакция попадет в сеть. Пользователи делают работу вне сети и отправляют транзакцию, которая уже включает доказательство того, что головоломка была решена. Леви оценивает, что головоломку можно решить с использованием доступного “коммерческого” оборудования, например GPU, при стоимости всего в несколько сотен долларов за транзакцию. Схема рассчитана на работу в рамках ограничений сценариев Bitcoin: 201 опкод и 10,000 байт. В статье отмечается, что эти ограничения крайне жесткие, потому что каждый опкод учитывается в общем лимите, даже если он присутствует в неиспользуемой ветке сценария. Чтобы уложиться в эти рамки, система объединяет подписи Лэмпорта с хеш-ориентированными головоломками в многоуровневой структуре транзакции. Также вводится “прикрепление транзакции” (“transaction pinning”), которое требует от любого, кто пытается изменить транзакцию, снова решить головоломку. Леви описывает систему как меру “последнего средства”, а не как масштабируемое исправление. В статье говорится, что и вычислительная стоимость вне сети, и размер транзакции в цепочке не будут масштабироваться до целевой пропускной способности Bitcoin или потребностей большинства пользователей. Создание транзакций также сложнее, чем при стандартном использовании Bitcoin, и может считаться нестандартным в рамках текущих правил ретрансляции, то есть возможны проблемы с распространением, и транзакции, возможно, придется отправлять напрямую в майнинговые пулы, а не транслировать через общедоступный mempool. Предложение также несет компромиссы по безопасности. Хотя оно избегает атак, основанных на алгоритме Шора, которые угрожают подписям на эллиптических кривых, алгоритм Гровера все еще может дать квантовым атакующим квадратичное ускорение. “В той мере, в какой квантовая угроза считается реальной, остается необходимым продолжать текущие усилия по исследованию и внедрению наилучшего возможного решения для Bitcoin — максимально эффективного, удобного для пользователей и отвечающего потребностям Bitcoin через изменения на уровне протокола”, — написал Леви.

Статья Леви присоединяется к нескольким предложениям, которые появились и описывают, как Bitcoin может перейти к квантоустойчивой криптографии, включая BIP-360, который вводит формат адреса Pay-to-Merkle-Root, предназначенный для поддержки квантобезопасных подписей. Хотя квантовая угроза для Bitcoin пока остается теоретической, компании, включая Google и Cloudflare, уже готовятся к ней, устанавливая дедлайн 2029 года для перехода своих систем на постквантовую криптографию.